Fremdzugriff per JavaVMW.exe auf meinem Laptop

Übersicht

Sonstiges

Smalltalk

	Skabus Betreff: Fremdzugriff per JavaVMW.exe auf meinem Laptop	Mi, Apr 21, 2010 11:56 Antworten mit Zitat
Hallo, Ich hab seit geraumer Zeit ein Problem mit meinem EeePC. Es scheint sich ein Trojaner/Backdoor-Programm in der system32 eingenistet zu haben, von wo aus der hacker offenbar Zugriff auf meinen Laptop hat und so tolle Scherze machen kann, wie irgendwelche Webadresse in meinem Firefox reinzuschreiben.... Ich such schon lange ne Möglichkeit das Ding loszuwerden, finde aber nirgends irgendne Möglichkeit was dagegen zu tun.Problem ist folgendes: Im system32 ist ein Ordner WinVMW darin befindet sich eine Datei JavaVMW.exe welche sich nicht löschen lässt, bzw. die Löschung sofort rückgänig macht. Im Taskmanager passiert FREQUENZIELL folgendes: Zunächst startet sich die JavaVMW.exe, dann startet sie sich 3 mal neu, öffnet dann einen PROZESS firefox.exe, OBWOHL firefox nicht gestartet ist.Danach versucht sich dieser firefox-Prozess mit dem Internet zu verbinden wie Sygate Firewall meldet. Das Problem: Beende ich diesen Prozess startet die ganze Sache von vorne: JavaVm startet, beendet sich startet firefox-> Zugriff auf Internet... Hijackthis meldet zwar die entsprechenden Probleme, bekommt das Problem aber auch nicht gelöst. Anti-Malware schaffts ebenfalls nicht.Am Ende ist WinVMW und JavaVMW immernoch da... Avira merkt erst gar net dass JavaVMW ein Trojaner ist.... Erwähnenswert wäre noch, dass dieser Trojaner außerdem jeden USB_Stick/Festplatte etc. befällt und dort eine Autorun.inf und einen versteckten RECYLER-Ordner draufkopiert in dem ebenfalls eine JavaVM.exe drin ist.Der USB-Stick/Festplatte heißen dann PENDRIVE... Hab danach schon gegooglet, geholfen hat aber nix... Daher mein Hilferuf: Was kann ich dagegen machen?Alle Programme die ich versucht habe können dem Problem nicht auf den Grund gehen...geschweige denn es lösen. Da sich der Ordner im system32 auch nicht löschen lässt, wird sicher von irgendwoanders immer wieder entsprechende Datei rüberkopiert.Was soll ich also dagegen machen? Neuinstallation von Windows XP bringt nix, das habe ich bereits getan, hab nun 3 Wochen nach der Neuinstallation das selbe Problem schon wieder... Danke für eure Hilfe! MfG Ska
"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit! Ein SNES-RPG mit Handels- und Wirtschaftselemente. Infos?Hier: http://www.blitzforum.de/worklogs/234/ Besucht meine Seite: www.seelenfriedhof.de.vu

Skabus

Betreff: Fremdzugriff per JavaVMW.exe auf meinem Laptop

Mi, Apr 21, 2010 11:56
Antworten mit Zitat

Hallo,

Ich hab seit geraumer Zeit ein Problem mit meinem EeePC.

Es scheint sich ein Trojaner/Backdoor-Programm in der system32 eingenistet zu haben, von wo aus der hacker offenbar Zugriff auf meinen Laptop hat und so tolle Scherze machen kann, wie irgendwelche Webadresse in meinem Firefox reinzuschreiben....

Ich such schon lange ne Möglichkeit das Ding loszuwerden, finde aber nirgends irgendne Möglichkeit was dagegen zu tun.Problem ist folgendes:

Im system32 ist ein Ordner WinVMW darin befindet sich eine Datei JavaVMW.exe welche sich nicht löschen lässt, bzw. die Löschung sofort rückgänig macht.

Im Taskmanager passiert FREQUENZIELL folgendes:

Zunächst startet sich die JavaVMW.exe, dann startet sie sich 3 mal neu, öffnet dann einen PROZESS firefox.exe, OBWOHL firefox nicht gestartet ist.Danach versucht sich dieser firefox-Prozess mit dem Internet zu verbinden wie Sygate Firewall meldet.

Das Problem: Beende ich diesen Prozess startet die ganze Sache von vorne: JavaVm startet, beendet sich startet firefox-> Zugriff auf Internet...

Hijackthis meldet zwar die entsprechenden Probleme, bekommt das Problem aber auch nicht gelöst.
Anti-Malware schaffts ebenfalls nicht.Am Ende ist WinVMW und JavaVMW immernoch da...
Avira merkt erst gar net dass JavaVMW ein Trojaner ist....

Erwähnenswert wäre noch, dass dieser Trojaner außerdem jeden USB_Stick/Festplatte etc. befällt und dort eine Autorun.inf und einen versteckten RECYLER-Ordner draufkopiert in dem ebenfalls eine JavaVM.exe
drin ist.Der USB-Stick/Festplatte heißen dann PENDRIVE...

Hab danach schon gegooglet, geholfen hat aber nix...

Daher mein Hilferuf: Was kann ich dagegen machen?Alle Programme die ich versucht habe können dem Problem nicht auf den Grund gehen...geschweige denn es lösen.

Da sich der Ordner im system32 auch nicht löschen lässt, wird sicher von irgendwoanders immer wieder entsprechende Datei rüberkopiert.Was soll ich also dagegen machen?

Neuinstallation von Windows XP bringt nix, das habe ich bereits getan, hab nun 3 Wochen nach der Neuinstallation das selbe Problem schon wieder...

Danke für eure Hilfe!

MfG Ska

"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat

aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit!
Ein SNES-RPG mit Handels- und Wirtschaftselemente.
Infos?Hier: http://www.blitzforum.de/worklogs/234/
Besucht meine Seite:
www.seelenfriedhof.de.vu

Zuletzt bearbeitet von Skabus am Mi, Apr 21, 2010 12:00, insgesamt einmal bearbeitet

	D2006 Administrator	Mi, Apr 21, 2010 11:58 Antworten mit Zitat
Hast du beim Neuinstallieren einfach WinXP nochmal drüber gebügelt oder die Platte sauber formatiert? Falls ersters, tue letzteres.
Intel Core i5 2500 \| 16 GB DDR3 RAM dualchannel \| ATI Radeon HD6870 (1024 MB RAM) \| Windows 7 Home Premium Intel Core 2 Duo 2.4 GHz \| 2 GB DDR3 RAM dualchannel \| Nvidia GeForce 9400M (256 MB shared RAM) \| Mac OS X Snow Leopard Intel Pentium Dual-Core 2.4 GHz \| 3 GB DDR2 RAM dualchannel \| ATI Radeon HD3850 (1024 MB RAM) \| Windows 7 Home Premium Chaos Interactive :: GoBang :: BB-Poker :: ChaosBreaker :: Hexagon :: ChaosRacer 2

D2006

Administrator

Mi, Apr 21, 2010 11:58
Antworten mit Zitat

Hast du beim Neuinstallieren einfach WinXP nochmal drüber gebügelt oder die Platte sauber formatiert? Falls ersters, tue letzteres.

	Skabus	Mi, Apr 21, 2010 12:02 Antworten mit Zitat
D2006 hat Folgendes geschrieben: Hast du beim Neuinstallieren einfach WinXP nochmal drüber gebügelt oder die Platte sauber formatiert? Falls ersters, tue letzteres. Ich hab nicht die ganze Festplatte formatiert, das wäre auch schwer möglich.Ich habe eine WinXP-Partition mit 10 GB und die restlichen 150 GB auf ner anderen Partition(auf der aber nach Prüfung keine Dateien dieser Art drauf war). Die WINXP-Partition habe ich vollständig formatiert. MfG Ska
"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit! Ein SNES-RPG mit Handels- und Wirtschaftselemente. Infos?Hier: http://www.blitzforum.de/worklogs/234/ Besucht meine Seite: www.seelenfriedhof.de.vu

Skabus

Mi, Apr 21, 2010 12:02
Antworten mit Zitat

D2006 hat Folgendes geschrieben:

Hast du beim Neuinstallieren einfach WinXP nochmal drüber gebügelt oder die Platte sauber formatiert? Falls ersters, tue letzteres.

Ich hab nicht die ganze Festplatte formatiert, das wäre auch schwer möglich.Ich habe eine WinXP-Partition mit 10 GB und die restlichen 150 GB auf ner anderen Partition(auf der aber nach Prüfung keine Dateien dieser Art drauf war).

Die WINXP-Partition habe ich vollständig formatiert.

MfG Ska

	Mr.Keks	Mi, Apr 21, 2010 12:24 Antworten mit Zitat
Zitat: hab nun 3 Wochen nach der Neuinstallation das selbe Problem schon wieder... Klingt doch so, als hätte es was gebracht. Sicher, dass du es dir nicht erneut zugezogen haben könntest durch ausführen einer fragwürdigen Datei oder durch nen infizierten USB-Stick, MP3-Player oder ähnliches?
MrKeks.net

Mr.Keks

Mi, Apr 21, 2010 12:24
Antworten mit Zitat

Zitat:

hab nun 3 Wochen nach der Neuinstallation das selbe Problem schon wieder...

Klingt doch so, als hätte es was gebracht. Sicher, dass du es dir nicht erneut zugezogen haben könntest durch ausführen einer fragwürdigen Datei oder durch nen infizierten USB-Stick, MP3-Player oder ähnliches?

MrKeks.net

	Skabus	Mi, Apr 21, 2010 12:35 Antworten mit Zitat
Mr.Keks hat Folgendes geschrieben: Zitat: hab nun 3 Wochen nach der Neuinstallation das selbe Problem schon wieder... Klingt doch so, als hätte es was gebracht. Sicher, dass du es dir nicht erneut zugezogen haben könntest durch ausführen einer fragwürdigen Datei oder durch nen infizierten USB-Stick, MP3-Player oder ähnliches? Könnte sein, dass meine USB_Sticks infiziert waren hab ich erst hinterher gemerkt. Seltsamerweise scheint sich das nur vom System aus auf Sticks zu kopieren nicht aber umgekehrt, da der Laptop meiner Freundin nicht infiziert ist... Wenn nichts hilft muss ichs eben nochmal neu aufsetzen.... Ich hab nur die Befürchtung, dass das immer wieder von vorne anfängt o.O MfG Ska
"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit! Ein SNES-RPG mit Handels- und Wirtschaftselemente. Infos?Hier: http://www.blitzforum.de/worklogs/234/ Besucht meine Seite: www.seelenfriedhof.de.vu

Skabus

Mi, Apr 21, 2010 12:35
Antworten mit Zitat

Mr.Keks hat Folgendes geschrieben:

Zitat:

hab nun 3 Wochen nach der Neuinstallation das selbe Problem schon wieder...

Könnte sein, dass meine USB_Sticks infiziert waren hab ich erst hinterher gemerkt.
Seltsamerweise scheint sich das nur vom System aus auf Sticks zu kopieren nicht aber umgekehrt, da der Laptop meiner Freundin nicht infiziert ist...

Wenn nichts hilft muss ichs eben nochmal neu aufsetzen....
Ich hab nur die Befürchtung, dass das immer wieder von vorne anfängt o.O

MfG Ska

	Thunder	Mi, Apr 21, 2010 14:52 Antworten mit Zitat
Ich habe schon von solchen Backdoors gehört, die Firefox benutzen um die Internetverbindung herzustellen. Hast du schon probiert "netstat -b" in der Konsole auszuführen? (Zeigt an, welches Programm mit welcher IP auf welchem Port verbunden ist) Hast du dir schon die Registryeinträge HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run angesehen und verdächtige Einträge gelöscht? mfg Thunder
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Thunder

Mi, Apr 21, 2010 14:52
Antworten mit Zitat

Ich habe schon von solchen Backdoors gehört, die Firefox benutzen um die Internetverbindung herzustellen.
Hast du schon probiert "netstat -b" in der Konsole auszuführen? (Zeigt an, welches Programm mit welcher IP auf welchem Port verbunden ist)
Hast du dir schon die Registryeinträge HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run angesehen und verdächtige Einträge gelöscht?

mfg Thunder

Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

	StarGazer	Do, Apr 22, 2010 18:16 Antworten mit Zitat
Vielleicht ist es auch ein BrowserCookie Virus oder so. Die werden von den normalen VirenScanner nicht alle erkannt, wenn überhaupt. Da ist SpyDoctor ganz gut für. Mit der DemoVersion kannst alles durchsuchen und schauen ob Du was drauf hast, jedoch erlaubt die Demo nicht es dann auch zu löschen ^^. Aber immerhin weist Du dann, was drauf ist. Es gibt noch einen kostenlosen, der heißt SpyBot, der auch wohl auch ganz gut ist und ne Menge findet. Auf Chip.de findest Du beide.

StarGazer

Do, Apr 22, 2010 18:16
Antworten mit Zitat

Vielleicht ist es auch ein BrowserCookie Virus oder so. Die werden von den normalen VirenScanner nicht alle erkannt, wenn überhaupt.
Da ist SpyDoctor ganz gut für. Mit der DemoVersion kannst alles durchsuchen und schauen ob Du was drauf hast, jedoch erlaubt die Demo nicht es dann auch zu löschen ^^. Aber immerhin weist Du dann, was drauf ist.
Es gibt noch einen kostenlosen, der heißt SpyBot, der auch wohl auch ganz gut ist und ne Menge findet.
Auf Chip.de findest Du beide.

	Lion	Do, Apr 22, 2010 19:45 Antworten mit Zitat
Ich empfehle mal ComboFix auszuprobieren, hat bei meinen Problemen bisher immer geholfen.
Intel Core 2 Quad 4x2.66 ghz - 4gb ddr2 - nvidia GeForce GTX660 2gb Intel Atom 1x1.83 ghz - 2gb ddr2 - intel GMA 3150 256mb AMD A10-5750M 4x2.5 ghz - 8 gb ddr4 - AMD R9 M290x

Lion

Do, Apr 22, 2010 19:45
Antworten mit Zitat

Ich empfehle mal ComboFix auszuprobieren, hat bei meinen Problemen bisher immer geholfen.

Intel Core 2 Quad 4x2.66 ghz - 4gb ddr2 - nvidia GeForce GTX660 2gb
Intel Atom 1x1.83 ghz - 2gb ddr2 - intel GMA 3150 256mb
AMD A10-5750M 4x2.5 ghz - 8 gb ddr4 - AMD R9 M290x

	Silver_Knee	Do, Apr 22, 2010 20:34 Antworten mit Zitat
hast du mal prozessstrukturen beendet oder in den Diensten nachgesehen? Eventuell findest du das wurzelprogramm. Kannst auchmal im abgesicherten alles probieren.

Silver_Knee

Do, Apr 22, 2010 20:34
Antworten mit Zitat

hast du mal prozessstrukturen beendet oder in den Diensten nachgesehen? Eventuell findest du das wurzelprogramm.

Kannst auchmal im abgesicherten alles probieren.

	Skabus	Do, Apr 22, 2010 21:54 Antworten mit Zitat
Silver_Knee hat Folgendes geschrieben: hast du mal prozessstrukturen beendet oder in den Diensten nachgesehen? Eventuell findest du das wurzelprogramm. Kannst auchmal im abgesicherten alles probieren. Jap, das war das erste was mir aufiel... Daher weiß ich ja dass er nen Firefox-Prozess genutzt hat... Mitlerweile hab ich mal alles vollständig mit den 3 Programmen durchlaufen lassen, nun hat sich der WinVMW-Ordner einfach löschen lassen... Scheinbar funzt jetzt wieder alles wie es soll... Ich hoffe das bleibt auch so... Wie immer danke für eure Hilfe^^ MfG Ska
"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit! Ein SNES-RPG mit Handels- und Wirtschaftselemente. Infos?Hier: http://www.blitzforum.de/worklogs/234/ Besucht meine Seite: www.seelenfriedhof.de.vu

Skabus

Do, Apr 22, 2010 21:54
Antworten mit Zitat

Silver_Knee hat Folgendes geschrieben:

hast du mal prozessstrukturen beendet oder in den Diensten nachgesehen? Eventuell findest du das wurzelprogramm.

Kannst auchmal im abgesicherten alles probieren.

Jap, das war das erste was mir aufiel...
Daher weiß ich ja dass er nen Firefox-Prozess genutzt hat...

Mitlerweile hab ich mal alles vollständig mit den 3 Programmen durchlaufen lassen, nun hat sich der WinVMW-Ordner einfach löschen lassen...

Scheinbar funzt jetzt wieder alles wie es soll...

Ich hoffe das bleibt auch so...

Wie immer danke für eure Hilfe^^

MfG Ska

	Zauberwürfel	Do, Apr 22, 2010 22:36 Antworten mit Zitat
Also was mir bisher bei fast allen Trojanern/Viren/Whatever geholfen hat (nein, ich habe nicht dauernd sowas, sondern höchstens einmal im Jahr ) ist der TrojanRemover. Der ist echt schnell und klasse. Außer bei einem Virus musste er passen, der war aber auch hart (jede EXE infiziert und so Späße). Kannst ja mal nach googlen, gibt ne 30 Tage-Testversion von.
Ja ich bin audiophil. Jetzt ist es raus.

Zauberwürfel

Do, Apr 22, 2010 22:36
Antworten mit Zitat

Also was mir bisher bei fast allen Trojanern/Viren/Whatever geholfen hat (nein, ich habe nicht dauernd sowas, sondern höchstens einmal im Jahr Wink

) ist der TrojanRemover. Der ist echt schnell und klasse. Außer bei einem Virus musste er passen, der war aber auch hart (jede EXE infiziert und so Späße). Kannst ja mal nach googlen, gibt ne 30 Tage-Testversion von.

Ja ich bin audiophil. Jetzt ist es raus.

	Smily	Fr, Apr 23, 2010 12:57 Antworten mit Zitat
Mal ne ganz banale Frage: Was hast du denn als letztes gemacht, bevor der Virus aufgetreten ist? Grüße, Smily
Lesestoff: gegen Softwarepatente \| Netzzensur \| brain.exe \| Unabhängigkeitserklärung des Internets "Wir müssen die Rechte der Andersdenkenden selbst dann beachten, wenn sie Idioten oder schädlich sind. Wir müssen aufpassen. Wachsamkeit ist der Preis der Freiheit --- Keine Zensur!" stummi.org

Smily

Fr, Apr 23, 2010 12:57
Antworten mit Zitat

Mal ne ganz banale Frage: Was hast du denn als letztes gemacht, bevor der Virus aufgetreten ist?

Grüße,
Smily

Lesestoff:
gegen Softwarepatente | Netzzensur | brain.exe | Unabhängigkeitserklärung des Internets

"Wir müssen die Rechte der Andersdenkenden selbst dann beachten, wenn sie Idioten oder schädlich sind. Wir müssen aufpassen. Wachsamkeit ist der Preis der Freiheit --- Keine Zensur!"
stummi.org

	Skabus	Fr, Apr 23, 2010 15:12 Antworten mit Zitat
Ich hab nicht die leiseste Ahnung... Ich hab nur irgendwann gemerkt, dass mein FireFox spinnt und keine Updates mehr durchführen kann und einen Tag später, als ich nachsehen wollte, was da net passt, bewegt sich plötzlich mein Mauszeiger wie auf wunddersame Weise und in der Adressleiste wird hübsch irgendeine Adresse eingetippt. Da hab ich gleich alles ausgemacht und dekativiert, 5 Scans drübergezogen...Ja und irgendwann wars dann weg... MfG Ska
"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit! Ein SNES-RPG mit Handels- und Wirtschaftselemente. Infos?Hier: http://www.blitzforum.de/worklogs/234/ Besucht meine Seite: www.seelenfriedhof.de.vu

Skabus

Fr, Apr 23, 2010 15:12
Antworten mit Zitat

Ich hab nicht die leiseste Ahnung...

Ich hab nur irgendwann gemerkt, dass mein FireFox spinnt und keine Updates mehr durchführen kann und einen Tag später, als ich nachsehen wollte, was da net passt, bewegt sich plötzlich mein Mauszeiger wie auf wunddersame Weise und in der Adressleiste wird hübsch irgendeine Adresse eingetippt.

Da hab ich gleich alles ausgemacht und dekativiert, 5 Scans drübergezogen...Ja und irgendwann wars dann weg...

MfG Ska

Übersicht

Sonstiges

Smalltalk

Nach Oben

BlitzBasic Portal

Fremdzugriff per JavaVMW.exe auf meinem Laptop

Betreff: Fremdzugriff per JavaVMW.exe auf meinem Laptop